콘텐츠로 이동

PUA 경고 해결

PUA 경고를 해결하기 위해 할 수 있는 조치입니다.

경고를 사용하여 언제 조치를 취해야 하는지 또는 PUA(Potentially Unwanted Application) 감지를 조사해야 하는지 여부를 알려줍니다. 또한 PUA의 정리를 시도한 적이 있는지 알려줍니다. 장치의 세부 정보 페이지에 이 내용이 표시됩니다. 장치을 참조하십시오.

또한 위협 그래프를 생성할 수 있습니다. 이는 감지된 PUA에 대한 자세한 정보를 제공합니다. 위협 그래프을 참조하십시오.

PUA가 긍정 오류인지 확인

간혹 맬웨어 감지가 오탐일 수도 있습니다. 예를 들어 Deep Learning(탐지 이름: ML/PE-A) 감지는 머신 러닝을 사용하여 이전에는 없었던 맬웨어를 식별합니다. 매우 효과적이지만 합법적인 응용 프로그램을 맬웨어로 식별할 수 있는 경우도 있습니다.

감지가 잘못된 경우 응용 프로그램을 허용하거나 제외 항목을 추가할 수 있습니다.

감지가 올바르면 해당 응용 프로그램을 정리해야 합니다.

응용 프로그램이 악성인지 PUA인지 확실하지 않은 경우 경고를 조사해야 합니다. 그런 다음 응용 프로그램을 적절하게 허용하거나 정리할 수 있습니다.

긍정 오류 처리

감지가 올바르지 않다고 생각되면 응용 프로그램을 허용하거나 제외 항목을 추가할 수 있습니다.

경고

응용 프로그램을 허용하거나 제외 항목을 추가할 때 주의하십시오. 이렇게 하면 보호 기능이 줄어들 수 있습니다.

예를 들어 디렉터리를 제외시킨 다음에도 해당 위치에서 멀웨어가 실행되는 경우 멀웨어는 차단되지 않습니다.

긍정 오류를 처리하려면 다음과 같이 하십시오.

  • 애플리케이션을 허용하려면 다음과 같이 하십시오.

    1. 개요로 이동하여 장치를 클릭합니다.
    2. 응용 프로그램이 탐지된 위치에 따라 컴퓨터 또는 서버 페이지로 이동합니다.
    3. 감지가 발생한 장치를 찾고 이 장치의 세부 정보를 봅니다.
    4. 이벤트 탭에서 검색 이벤트를 찾아 세부 정보을 클릭합니다.
    5. 이벤트 세부 정보 대화 상자에서 이 응용 프로그램 허용을 확인합니다.
    6. 응용 프로그램을 허용할 방법을 선택합니다.
      • 인증서: 이 방법을 권장합니다. 또한, 이 방법은 동일한 인증서로 다른 응용 프로그램을 허용합니다.
      • SHA-256: 이 버전의 응용 프로그램을 허용합니다. 그러나 응용 프로그램을 업데이트하면 다시 감지할 수 있습니다.
      • 경로: 이 위치에 설치된 경우 응용 프로그램을 허용합니다. 응용 프로그램이 다른 컴퓨터의 다른 위치에 있는 경우 변수를 사용할 수 있습니다.
    7. 허용을 클릭합니다. 응용 프로그램 허용에 대한 자세한 내용은 허용된 응용 프로그램을 참조하십시오.
  • 제외 항목을 추가하려면 정책 기반 제외를 사용하는 것이 좋습니다. 제외 항목을 대상으로 정하고 가능한 한 구체적으로 지정할 수 있습니다. 제외 항목을 추가하려면, 다음과 같이 하십시오.

    1. 엔드포인트의 경우 Endpoint Protection > 정책으로 이동하여 제외 항목을 설정합니다.

      위협 방지 정책을 참조하십시오.

    2. 서버의 경우 Server Protection > 정책으로 이동하여 제외 항목을 설정합니다.

      서버 위협 방지 정책을 참조하십시오.

  • 엔드포인트에서 경고 페이지의 응용 프로그램을 허용할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. 개요 > 경고로 이동합니다.
    2. PUA 경고를 찾습니다.
    3. PUA 권한 부여를 클릭합니다.

      경고

      이렇게 하면 모든 컴퓨터에서 실행하도록 PUA에 권한이 부여됩니다. 인증서 또는 SHA-256을 사용하여 응용 프로그램을 허용하는 것이 좋습니다.

이제 경고를 해결할 수 있습니다.

PUA 정리

감지가 정확하다고 생각되면 응용 프로그램을 정리할 수 있습니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  • 엔드포인트에서 경고 페이지의 PUA를 제거할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. 개요 > 경고로 이동합니다.
    2. PUA 정리를 클릭합니다. 네트워크 공유에서 PUA가 감지된 경우에는 이 작업을 사용할 수 없을 수도 있습니다. Endpoint Protection 에이전트에 해당 파일을 정리할 수 있는 충분한 권한이 없기 때문입니다.
  • 경고 페이지에서 PUA를 정리할 수 없는 경우 다음과 같이 하십시오.

    1. 응용 프로그램, 관련 프로세스 및 레지스트리 키를 삭제합니다.

      관련 프로세스나 기타 의심스러운 파일에 대한 자세한 정보를 확인할 수 있으므로 경고를 조사하는 것이 도움이 될 수 있습니다.

경고 조사

감지된 PUA에 대해 필요한 모든 정보가 경고에 제공되지 않을 수 있습니다. 악성인지 불필요한 것인지 확실하지 않은 경우 감지된 PUA에 대해 가능한 모든 정보를 검토해야 합니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  1. 위협 그래프가 있는지 확인합니다. Sophos Central에서 개요로 이동한 후 위협 분석 센터을 클릭합니다.
  2. 감지된 PUA와 관련된 위협 그래프를 찾습니다.

    위협 그래프가 있는 경우 감지된 PUA에 대한 세부 정보가 표시됩니다. 여기에는 수행된 모든 활동과 기타 의심스러운 파일 또는 조사 프로세스가 있는지 여부가 나타납니다.

  3. 위협 그래프가 없는 경우 위협 그래프를 만듭니다.

  4. 옵션: 적절한 경우 사용자에게 연락해서 감염 발생 시점에 어떤 일이 있었는지 알아냅니다. 예를 들어, 이메일에서 링크를 클릭하거나 메모리 스틱을 연결했습니까?
  5. 위협 그래프를 조사하고 문제 해결을 위해 당사에서 제안하는 단계를 따릅니다.

    위협 그래프를 사용한 위협 조사에 대한 도움말은 위협 그래프 분석를 참조하십시오.

  6. 응용 프로그램을 허용하려면 "긍정 오류 처리"의 단계를 따릅니다.

  7. 응용 프로그램을 제거하려면 "PUA 정리"의 단계를 따릅니다.

이제 경고를 해결할 수 있습니다.

경고 해결

애플리케이션을 허용 또는 제거한 경우 경고를 해결할 수 있습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. 개요 > 경고로 이동합니다.
  2. 경고로 이동합니다.
  3. 해결됨으로 표시를 클릭합니다.
맨위로